반응형 보안16 Snort 와 Suricata 및 실습 📚 목차IDS란?Snort vs Suricata 비교실습 환경 구성Suricata 실습Snort 실습캡처/로그 결과 보기결론 및 추천✨ 1. IDS란?IDS(침입 탐지 시스템, Intrusion Detection System)는 네트워크를 모니터링하여 악성 트래픽이나 공격을 탐지하는 시스템이다. 대표적인 오픈소스 IDS로는 Snort와 Suricata가 있다.⚖️ 2. Snort vs Suricata 비교표항목SnortSuricata개발CiscoOISF성능 구조단일 스레드✅ 멀티스레드로그텍스트 (alert)✅ JSON (eve.json)룰 호환전용 룰✅ Snort 룰 대부분 호환사용 목적학습용, 중소규모✅ 고속/실무 환경 적합분석 대상패킷 기반✅ HTTP, TLS, DNS 등 7계층 인식📌 Suric.. 2025. 6. 30. WAF WAF(Web Application Firewall, 웹 애플리케이션 방화벽)은 💡 웹 애플리케이션을 대상으로 한 공격을 탐지하고 차단하는 보안 장비 또는 소프트웨어입니다.✅ 핵심 개념 요약항목설명🎯 목적웹 애플리케이션 공격 차단 (예: SQL Injection, XSS 등)🔍 작동 방식HTTP/HTTPS 트래픽을 검사하여 악의적인 요청 탐지🛡️ 보호 대상웹 서버, 웹 애플리케이션📦 구성 형태하드웨어, 소프트웨어, 클라우드 형태로 제공📌 주요 기능OWASP Top 10 공격 차단(SQL Injection, XSS, CSRF 등 웹 취약점 대응)정책 기반 필터링요청 헤더, URI, 본문 등에 대해 정밀 필터링 설정 가능로그/모니터링 기능공격 탐지, 차단 로그 기록 및 시각화 기능 제공보안 룰셋 .. 2025. 6. 27. AI 기반 악성코드 탐지 모델 구축 📌 AI 기반 악성코드 탐지 모델 구축 설명1. ✅ 목적악성코드의 특성을 머신러닝 모델이 학습하게 하고,새로운 실행파일(PE 파일)이 들어왔을 때 악성 여부를 자동으로 판단하는 시스템을 구현2. ⚙️ 사용 기술 스택분야도구/기술언어Python 3라이브러리scikit-learn, pefile, pandas, tqdm, joblib알고리즘랜덤 포레스트(Random Forest Classifier)분석 대상.exe, .dll 등 PE 파일 구조플랫폼Ubuntu 22.04, 가상환경 (venv)3. 가상 환경가상 환경 생성가상 프롬프트폴더 구조 생성샘플 다운로드압축 해제4. 터미널 생성, 샘플 확인터미널 생성정상 샘플 3개 악성 샘플 1개가 들어간것을 확인5. Python code1.predict_pe.py#.. 2025. 6. 26. 💾 디지털 포렌식 도구 - HxD, BinText, ExeInfoPE, Contig 등 총정리 🔍 HxD(Hex Editor)HxD는 16진수 편집기로, 파일 내부를 16진수(Hex)로 열어볼 수 있는 도구입니다. 주로 아래와 같은 작업이 가능합니다:주요 기능실행파일의 값 수정→ 게임의 머니 값을 수정하거나 공격력, 라이프 등을 조작할 수 있음. 예: Secret Maryo, Dink파일 종류 확인→ 확장자가 변경된 파일의 내부 Signature를 통해 원래 파일 타입 식별 가능정적 분석(Static Analysis)→ 패스워드 추출 등 역공학(Reverse Engineering) 가능삭제된 그림 및 문서 복원→ 디지털 포렌식 실습에 자주 사용됨참고 사항Endian:값은 Little Endian 방식으로 넣어야 함. 예) 33C0 → C033Little Endian: 값을 '뒤에서부터' 저장하는.. 2025. 6. 13. 디지털 포렌식 도구 및 백업·복원 기법 1. GPGdir기능: 특정 디렉터리를 암호화하여 외부에서 볼 수 없도록 보호장점: BitLocker* 없이, TPM* 모듈 없이도 사용 가능 🛡이용 조건: 암호화 키가 있어야 디렉터리 내 파일 열람 가능BitLocker: 윈도우 내장 디스크 암호화 기능TPM(Trusted Platform Module): 하드웨어 기반 보안 칩설명BitLocker: 윈도우 내장 디스크 암호화 기능TPM(Trusted Platform Module): 하드웨어 기반 보안 칩2. 파티션·그래픽 데이터 복구TestDisk:파티션 복원 프로그램설치 시 PhotoRec도 함께 제공PhotoRec:사진·그림 등 그래픽 파일 전문 복구일반 파일·디렉터리 복구도 가능 🎨Windows 대안: Partition Wizard(구 Part.. 2025. 6. 12. 디지털 포렌식 1. 디지털 포렌식(Digital Forensic) 개요디지털 포렌식(Computer Forensic)은 컴퓨터나 스마트폰 등 디지털 장치에서 합법적으로 데이터를 수집·분석·보고하고, 삭제된 자료를 복원하는 과정입니다.목적: 개인정보 복원, 디지털 범죄 입증 🔍법적 근거: 디지털 증거 수집·분석에 관한 법규(일명 디지털 법)2. 주요 작업 단계 및 절차증거 확보원본 디스크 이미지 생성해시(Hash) 생성·저장 → 이동 후 재생성 후 일치 확인분석 전 준비쓰기방지(Write Blocker) 적용🛡무결성(Integrity) 검증데이터 분석파일 시스템·레지스트리 분석로그·루트킷(rootkit) 탐색패스워드 추출·재설정복원·재구성손상 파티션 복구파일 카빙(File Carving)보고서 작성 및 증거 관리3... 2025. 6. 11. 🧪 패킷 분석(Packet Analysis) 완전 정리 1️⃣ 패킷 분석이란?패킷 분석은 네트워크에서 오가는 실제 데이터(Packet) 를 수집하고 해석하여,시스템이나 네트워크의 상태를 파악하는 기술입니다.다른 말로는 패킷 스니핑(Packet Sniffing) 또는 프로토콜 분석(Protocol Analysis) 이라고도 부릅니다.📌 주요 도구TCPdump: 텍스트 기반 CLI 도구Wireshark: GUI 기반 대표 분석 도구2️⃣ 패킷 분석의 활용네트워크 특성 분석사용자(호스트)의 IP, MAC 파악대역폭 사용량 및 피크타임 분석보안 위협 및 악성 행위 탐지 🔐설정 오류 및 병목 지점 확인👉 네트워크나 시스템 문제의 거의 모든 원인을 패킷 분석으로 찾아낼 수 있음3️⃣ 패킷 스니핑 구조 이해 🕸️▪ NIC의 무차별 모드(Promiscuous Mod.. 2025. 6. 2. Linux 보안과 암호화 개념 정리 📌 Linux 보안과 암호화 개념 정리🔑 OpenSSL을 이용한 개인키 및 인증서 생성1️⃣ 개인키 생성openssl genrsa -out www.kahn.edu.key 1024OpenSSL을 이용해 www.kahn.edu.key라는 개인키를 1024비트로 생성이 키는 SSL/TLS 통신을 위한 인증서 서명 등에 사용됨2️⃣ CSR(Certificate Signing Request) 파일 생성openssl req -new -sha256 -key www.kahn.edu.key -out www.kahn.edu.csrwww.kahn.edu.key 개인키를 기반으로 SHA-256 알고리즘을 사용하여 www.kahn.edu.csr 생성CSR 파일은 인증서 서명 요청을 의미하며, 발급받을 때 필요함⚠️ 주의사항.. 2025. 3. 17. 리눅스 보안 7일차 SELinux 보안 속성 및 파일 보호 관리1. SELinux 보안 속성 변경 및 복구(1) chcon 명령어chcon: 특정 파일이나 디렉터리의 보안 컨텍스트(Security Context)를 변경하는 명령어기본 사용법:chcon --reference=기존파일 대상파일예제:chcon --reference=/var/www/html /home/user/my_web변경된 보안 속성 확인:ls -lZ /home/user/my_web(2) restorecon 명령어restorecon: SELinux 정책에 맞게 보안 컨텍스트를 원래대로 복원하는 명령어기본 사용법:restorecon -Rv /경로예제:restorecon -Rv /home/user/my_web(3) SELinux Boolean 값 확인 및 설정ge.. 2025. 3. 14. 리눅스 보안 6 🔹 ASG (Astaro Security Gateway)란?ASG는 네트워크 보안 게이트웨이 역할을 하는 보안 장비(또는 소프트웨어)입니다.주요 기능은 방화벽(Firewall), VPN, 웹 필터링, IDS/IPS 등을 포함합니다.✅ ASG의 네트워크 역할ASG는 **3개의 네트워크 인터페이스(NIC, Network Interface Card)**를 가집니다.각 NIC는 서로 다른 IP 주소를 사용하며, 각각의 역할이 있습니다.NIC역할설명LAN (Host-only)내부 네트워크 연결로컬 네트워크 장치 간의 통신 담당WAN (Bridged)외부 네트워크 연결인터넷 연결을 제공하고, 외부 트래픽을 내부로 전달관리 (NAT, Backtrack 연결)관리용ASG를 설정하고 관리하기 위한 인터페이스이렇게 AS.. 2025. 3. 13. 리눅스 보안 5일차 핵심요약본 🛡 네트워크 보안 도구 정리 및 활용🔹 1. Suricata - 침입 탐지 및 카드 번호 감지Suricata는 Snort의 업그레이드 버전으로, IDS(침입 탐지 시스템) 및 IPS(침입 방지 시스템) 역할을 수행하는 강력한 네트워크 보안 도구입니다.✅ 특징Snort 룰과 호환됨멀티스레딩 지원으로 더 빠르고 강력한 탐지 성능 제공DPI(Deep Packet Inspection), 파일 추출 기능 지원✅ 카드 번호 감지 예제Suricata는 **정규표현식(PCRE)**을 활용하여 네트워크에서 특정 패턴을 감지할 수 있습니다.📌 MasterCard & Amex 번호 감지 룰# MasterCard 탐지 alert tcp any any -> any any (pcre:"/5\d{3}(\s|-)?\d{4}(\.. 2025. 3. 12. 리눅스 보안 5 🛡 Suricata 개요 및 카드 번호 감지 활용1️⃣ Suricata란?Suricata는 Snort의 업그레이드된 버전으로, 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS) 기능을 수행하는 강력한 네트워크 보안 도구입니다.✅ Snort 룰을 그대로 사용할 수 있으며, 추가적으로 멀티스레딩 지원, DPI(Deep Packet Inspection), 파일 추출 기능 등을 제공합니다.2️⃣ 특정 모듈 체크 및 정규표현식 활용Suricata는 외부에서 특정 모듈을 사용하는지 감지할 수 있으며, **정규표현식(PCRE)**을 활용하여 특정 패턴을 탐지할 수 있습니다.💳 예제: 신용카드 번호 탐지 (MasterCard, Amex 등)MasterCard 번호 감지 (예: 5123-4567-8901-23.. 2025. 3. 12. 이전 1 2 다음 반응형
